今天小编分享的互联网经验:黑客滥用流行的 Godot 游戏引擎感染数千台电腦,欢迎阅读。
黑客利用新的 GodLoader 恶意軟體,广泛使用 Godot 游戏引擎功能,在短短三个月内逃避检测并感染了 17,000 多个系统。
Check Point Research 在调查攻击时发现,威胁者可以使用此恶意軟體加载程式来针对所有主要平台(包括 Windows、macOS、Linux、Android 和 iOS)的游戏玩家。它还利用 Godot 的灵活性及其 GDScript 脚本语言功能来执行任意代码,并使用游戏引擎 .pck 檔案(打包游戏资产)绕过检测系统来嵌入有害脚本。
一旦加载,恶意制作的檔案就会触发受害者设备上的恶意代码,使攻击者能够窃取凭据或下载其他有效负载,包括 XMRig 加密矿工。
该矿工恶意軟體的配置托管在 5 月份上传的私人 Pastebin 檔案中,该檔案在整个活动期间被访问了 206,913 次。
至少自 2024 年 6 月 29 日起,网络犯罪分子一直在利用 Godot Engine 执行精心设计的 GDScript 代码,从而触发恶意命令并传播恶意軟體。VirusTotal 上的大多数防病毒工具仍未检测到这种技术,可能仅在短短的时间内就感染了超过 17,000 台计算机。
Godot 拥有一个充满活力且不断发展的开发者社区,他们重视其开源性质和强大的功能。超过 2,700 名开发者为 Godot 游戏引擎做出了贡献,而在 Discord、YouTube 和其他社交媒体平台等平台上,Godot 引擎拥有大约 80,000 名关注者,他们可以随时了解最新消息。
攻击链
攻击者通过 Stargazers Ghost Network 传播 GodLoader 恶意軟體,这是一种恶意軟體分发即服务 ( DaaS ) ,使用看似合法的 GitHub 存储库掩盖其活动。
2024 年 9 月至 10 月期间,他们使用由超过 225 个 Stargazer Ghost 帐户控制的 200 多个存储库,将恶意軟體部署到目标系统,利用潜在受害者对开源平台和看似合法的軟體存储库的信任。
在整个活动过程中,Check Point 在 9 月 12 日至 10 月 3 日期间检测到针对开发人员和游戏玩家的四次独立攻击浪潮,诱使他们下载受感染的工具和游戏。
虽然安全研究人员只发现了针对 Windows 系统的 GodLoader 样本,但他们还开发了 GDScript 概念验证漏洞利用代码,展示了恶意軟體如何轻松地用于攻击 Linux 和 macOS 系统。
Stargazer Goblin 是这些攻击中使用的 Stargazers Ghost Network DaaS 平台背后的恶意分子,Check Point 于 2023 年 6 月首次观察到在暗网上推广此恶意軟體分发服务。但是,它可能至少从 2022 年 8 月起就一直活跃,自这项服务推出以来,收入超过 100,000 美元。
Stargazers Ghost Network 使用 3,000 多个 GitHub"ghost" 帐户创建了数百个存储库的网络,这些存储库可用于传播恶意軟體(主要是 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 等信息窃取程式)以及 star、fork 和订阅这些恶意代码库,将它们推送到 GitHub 的趋势部分并增加其明显的合法性。
随后,Godot Engine 维护者和安全团队成员发送声明说:" 该漏洞并非 Godot 特有。 Godot Engine 是一个带有脚本语言的编程系统。例如,它类似于 Python 和 Ruby 运行时,用任何编程语言都可以编写恶意程式。"
Godot 不为 ".pck" 檔案注册檔案处理程式。这意味着恶意分子始终必须将 Godot 运行时与 .pck 檔案一起发送。用户始终必须将运行时与 .pck 一起解压到同一位置,然后执行运行时。除非存在其他作業系統级漏洞,否则恶意分子无法创建 " 一键漏洞利用 "。如果使用这样的作業系統级漏洞,那么由于运行时的大小,Godot 将不是一个特别有吸引力的选择。这类似于用 Python 或 Ruby 编写恶意軟體,恶意分子必须将 python.exe 或 ruby.exe 与其恶意程式一起发送。
